[cameron]

не очень поняла схему, а особо понятия "клиент и сервер" при Site-to-Site VPN.
в общем я бы сделала так:
Mikrotik <--L2TP Site-to-Site> RRAS, а сверху керио на это. RRAS без NAT'а не помешает работать Керио (предполагаю), а у керио будет просто ещё один интерфейс, на которй нужно нарисовать политики доступа.

Если такой вариант не работает - то зайти с другой стороны, а именно найти документацию от керио, как там делается Site-to-site VPN и поднять его с микротиком.

ну и самый правильный способ - избавиться от связки 2k8r2+kerio и заменить это либо керио аппаленсом (чистый IPsec), либо TMG, либо любым аппаратным роутером (поднимать IPsec умеют все не СОХО железки, и почти все СОХО при кастомной прошивке), либо pfSense\Monowall\ClearOS\etc.